CN115811425A - 一种两安一体化仪表风险迭代设计方法 - Google Patents

Abstract

本发明提供一种两安一体化仪表风险迭代设计方法。根据所收集的仪表攻击策略集、信息安全功能策略集、功能安全功能策略集，建立以仪表被攻击为分析目标的有向无环攻击图；确定仪表被攻击成功的平均时间，量化有向无环攻击图中各节点发生的概率；形成攻击链集合，并计算每条攻击链的攻击成功概率，根据结果是否符合预期，来判断是否调整信息安全功能策略。本方法能够在仪表开发前，定量评估两安仪表风险，减少针对功能安全需求与信息安全需求的设计难度，有效地降低两安仪表开发的成本。

Description

一种两安一体化仪表风险迭代设计方法

技术领域

本发明涉及工业控制系统功能安全与信息安全领域，具体说是一种两安一体化仪表风险迭代设计方法。

背景技术

近年来，由于新的信息和通信技术的集成，工业控制系统变得越来越复杂和互联。基础设施的远程监控意味着这些控制系统越来越多地连接到外部网络。此外，在工业控制系统中使用标准通信协议(如TCP/IP)以及使用现成组件的方式可以降低开发或集成的成本、加快并提供更多灵活性的部署。然而，工业控制系统的这种根本性转变带来了许多与信息安全相关的漏洞，例如，软件设计缺陷或公共可用协议中的漏洞，这可能危及整体基础设施的功能安全。

一直以来，信息安全和功能安全在两个不同的领域中分离地对待，评估方法同样如此。在信息安全领域，信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度；在功能安全领域，功能安全风险评估的目的是识别相关项中因故障引起的危害并对危害进行归类，制定防止危害事件发生或减轻危害程度的安全目标，以避免不合理的风险。而从防护角度，信息安全的软硬件的引入极有可能增加功能安全方面的失效风险，而功能安全的保障措施也有可能引入新的信息安全漏洞。因此，迫切需要一个综合功能安全和信息安全问题的分析框架来评估工业控制系统中测控设备设计中存在的风险。

现阶段针对测控设备量化评估方法只考虑的防护节点对评估带来的可能影响，未考虑信息安全防护类功能及信息安全检测类功能的失效对评估带来的影响，同时所建立的分析模型也缺少对风险会带来的后果的论述，考虑不太全面。另外相较于分析测控设备本身被攻击成功概率，现阶段的方法将测控设备放到实际的工业环境中而去计算单一测控设备的风险值，这种方式较不合理，对于指导测控设备的设计与开发缺少实际应用价值。

发明内容

针对现有技术的不足，本发明提供一种两安一体化仪表风险迭代设计方法，其目的在于解决两安一体化仪表在设计过程中无法定量评估仪表本身风险的问题，相比于目前的定量方法，提高了准确性。

本发明为实现上述目的所采用的技术方案是：

一种两安一体化仪表风险迭代设计方法，包括以下步骤：

1)获取漏洞信息以及仪表设计数据，构建针对仪表漏洞的攻击策略集、信息安全功能措施集以及功能安全功能措施集；

2)基于攻击策略集、信息安全功能措施集以及功能安全功能措施集，构建以仪表被成功攻击为分析目标的有向无环攻击图；

3)确定仪表被攻击成功的平均时间，并量化有向无环攻击图中各节点发生概率；

4)在有向无环攻击图中，以攻击开始为起始节点、仪表被成功攻击为目的节点，构建攻击链集合，并计算集合中每条攻击链的攻击成功概率；

5)判断每条攻击链的攻击成功概率是否符合两安一体化仪表安全等级矩阵的预期，如果符合，则根据当前的有向无环攻击图设计仪表；否则，调整攻击链上的信息安全功能措施或功能安全功能措施，并重新计算相应攻击链的攻击成功概率，循环迭代步骤3)～步骤5)，直至符合预期或迭代次数达到阈值。

所述有向无环攻击图中的节点包括：攻击准备节点prep、成功接入方式节点access、信息安全防护类功能失能节点def_disable、信息安全检测类功能失能节点det_disable、信息安全防护类功能失效节点def_failure、信息安全检测类功能失效节点det_failure、信息安全相关硬件随机失效节点hard_failure、瞬时信息安全事件节点event。

所述步骤3)包括以下步骤：

3.1)判断所设计的仪表被利用性等级；

3.2)基于仪表漏洞被成功利用性为最高级时需要的平均时间以及仪表被利用性等级，计算仪表被攻击成功的平均时间；

3.3)采用层次分析法评估有向无环攻击图各个节点的权重，进而结合仪表被攻击成功的平均时间，得到各节点需要的平均时间；

3.4)基于各节点需要的平均时间，量化各节点发生概率。

所述仪表被攻击成功的平均时间T_sum为：

其中，M为仪表漏洞被成功利用性为最高级时需要的平均时间。

所述步骤3.3)包括以下步骤：

3.3.1)构造判断矩阵A：

其中，a_ij表示第i和节点和第j个节点之间的比较，矩阵A的元素满足：1)a_ij＞0；2)

3)a_ii＝1；

3.3.2)求解判断矩阵A的最大特征根与CR值：

其中，

为A的标准化的特征向量，λ_max为A的最大特征根，CI为一致性指数，RI为随机一致性指数，CR为一致性比率，n为元素个数；

3.3.3)计算各节点需要的平均时间；

其中，T_prep为攻击准备需要的平均时间，T_access为成功接入方式需要的平均时间，T_(def_disable)为信息安全防护类功能失能需要的平均时间，T_(det_disable)为信息安全检测类功能失能需要的平均时间，T_event为瞬时信息安全事件发生需要的平均时间。

所述步骤3.4)包括以下步骤：

3.4.1)计算攻击准备节点的发生概率P_prep：

P_prep＝(1/T_prep)×e^(-1/T_prep)；

3.4.2)计算成功接入方式节点的发生概率P_access：

P_access＝(1/T_access)×e^(-1/T_access)；

3.4.3)计算信息安全防护类功能失能节点的发生概率P_(def_disable)：

其中，def为信息安全防护类功能；

3.4.4)计算信息安全检测类功能失能节点的发生概率P_(det_disable)：

其中，det为信息安全检测类功能；

3.4.5)计算信息安全防护类功能失效节点的发生概率P_(def_failure)(t)；

其中，SIL为仪表的功能安全完整性等级；

3.4.6)计算信息安全检测类功能失效节点的发生概率P_(det_failure)(t)：

3.4.7)计算信息安全相关硬件随机失效节点的发生概率P_(hard_failure)(t)：

P_(hard_failure)(t)＝1-e^(-tλ)；

其中，λ为硬件随机失效率，t为仪表待运行的持续时间；

3.4.8)计算瞬时信息安全事件节点的发生概率P_event：

P_event＝(1/T_event)×e^(-1/T_event)。

所述攻击链的攻击成功概率P_suc(t＝1)为：

其中，下标i表示第i条与信息安全防护类功能失能节点、信息安全检测类功能失能节点相关联的攻击链，下标j表示第j条与信息安全防护类功能失效节点、信息安全检测类功能失效节点相关联的攻击链，下标k表示第k条与信息安全相关硬件随机失效节点相关联的攻击链。

本发明具有以下有益效果及优点：

1.面向设计阶段的两安一体化仪表，提出一种信息安全和功能安全风险迭代控制方法，能够在仪表开发前，定量评估两安仪表风险，减少针对功能安全需求与信息安全需求的设计难度，有效地降低两安仪表开发的成本。

2.本发明以仪表被成功攻击为分析目标，将信息安全防护类与信息安全检测类功能的失能和失效过程也融合到两安仪表风险分析过程中，量化计算两安一体化仪表被成功攻击概率，为后续两安一体化控制系统的风险评估提供计算依据。

3.将被利用性分级转化为两安仪表被成功攻击所需要的时间，将攻击成功的总时间作为约束条件，以两安一体化仪表被成功攻击的概率为优化目标，通过迭代的方式将所求解的风险控制在可接受的范围中。

附图说明

图1是本发明方法的流程示意图；

图2是本发明实施例中有向无环攻击图；

图3是本发明实施例中的针对两安一体化仪表分析的有向无环攻击图的扩展示例图。

具体实施方式

下面结合附图及实施例对本发明做进一步的详细说明。

本发明实施例提供的一种两安一体化仪表风险迭代设计方法的总体流程如图1所示，具体包括如下步骤：

步骤1：收集与仪表相关的漏洞，形成针对仪表漏洞的攻击策略集。

步骤2：收集仪表在设计各阶段所产生的文档，形成信息安全功能措施集、功能安全功能措施集。其中文档包括但不限于需求分析、技术规格书、原理样机设计报告。

步骤3：根据上述步骤1的攻击策略集和上述步骤2的信息安全功能措施集和功能安全功能措施集，梳理攻击准备、成功接入方式、信息安全防护类功能失能、信息安全检测类功能失能、信息安全防护类功能失效、信息安全检测类功能失效、信息安全相关硬件随机失效、瞬时信息安全事件等之间的关联性，建立以仪表被成功攻击为分析目标的有向无环攻击图，如图2和图3所示。

步骤4：确定仪表被攻击成功的平均时间，并量化上述步骤3中得到的有向无环攻击图中各节点发生概率，包括攻击准备节点、成功接入方式节点、信息安全防护类功能失能节点、信息安全检测类功能失能节点、信息安全防护类功能失效节点、信息安全检测类功能失效节点、信息安全相关硬件随机失效节点、瞬时信息安全事件节点的概率。

步骤4.1：根据国家标准GB/T30279中所要求的被利用性分级，判断所设计的仪表被利用性等级。被利用性分级表如下表所示。

表1被利用性分级

在本实施例中的仪表的被利用分级值设为4级。

步骤4.2：仪表漏洞被成功利用性为最高级时需要的平均时间为M天，根据仪表被利用性等级，仪表被攻击成功的平均时间为：

在本实施例中，假设仪表漏洞被成功利用性为最高级时需要的平均时间为360天，则T_sum＝240。

步骤4.3：采用层次分析法评估攻击准备、成功接入方式、信息安全防护类功能失能、信息安全检测类功能失能、瞬时信息安全事件的权重，进而结合T_sum，计算得到T_prep、T_access、T_(def_disable)、T_(det_disable)、T_event的值。其中，T_prep为攻击准备需要的平均时间，T_access为成功接入方式需要的平均时间，T_(def_disable)为信息安全防护类功能失能需要的平均时间，T_(det_disable)为信息安全检测类功能失能需要的平均时间，T_event为瞬时信息安全事件发生需要的平均时间，以天为单位计算，并且T_sum＝T_prep+T_access+T_(def_disable)+T_(det_disable)+T_event。

步骤4.3.1：构造判断矩阵。

对于准则层，构建判断矩阵A如下：

其中，矩阵A的元素满足：1)a_ij＞0；2)

3)a_ii＝1。元素表示两两之间耗时性比较。在本实施例中，a_1j表示元素攻击准备分别与攻击准备、成功接入方式、信息安全类功能失能、信息安全检测类功能失能、瞬时信息安全事件各元素的耗时性比较；a_2j表示元素成功接入方式分别与攻击准备、成功接入方式、信息安全类功能失能、信息安全检测类功能失能、瞬时信息安全事件各元素的耗时性比较；a_3j表示元素信息安全防护类功能失能分别与攻击准备、成功接入方式、信息安全类功能失能、信息安全检测类功能失能、瞬时信息安全事件各元素的耗时性比较；a_4j表示元素信息安全检测类功能失能分别与攻击准备、成功接入方式、信息安全类功能失能、信息安全检测类功能失能、瞬时信息安全事件各元素的耗时性比较；a_5j表示元素瞬时信息安全事件分别与攻击准备、成功接入方式、信息安全类功能失能、信息安全检测类功能失能、瞬时信息安全事件各元素的耗时性比较。

本实施例对耗时性比较采用Saaty的9级标度，如下表所示。

表2耗时性比较的9级标度

标度	含义
		1	表示两个元素相比，需要的时间相同
3	表示两个元素相比，前者比后者消耗的时间稍多
		5	表示两个元素相比，前者比后者消耗的时间明显多
7	表示两个元素相比，前者比后者消耗的时间特别多
		9	表示两个元素相比，前者比后者消耗的时间极其多
2,4,6,8	表示上述相邻判断的中间值
		1～9的倒数	表示相应两元素交换次数比较的耗时性

基于仪表漏洞的攻击策略集、信息安全功能措施集、功能安全功能措施集，根据专家知识经验，我们得到赋值后的矩阵A的值如下：

步骤4.3.2：求解判断矩阵最大特征根与CR值。

公式如下：

其中，A为步骤4.3.1中的判断矩阵，

为A的标准化的特征向量，λ_max为A的最大特征根，CI为一致性指数，RI为随机一致性指数。当CR<0.1时，表明判断矩阵A的一致性程度被认为在容许的范围内，此时可用A的特征向量开展权向量计算；若CR≥0.1,则应考虑对判断矩阵A进行修正。

在本实施例中，RI取值如下表所示。

表3 RI取值表

在本实施例中，求得

λ_max，CI如下：

λ_max＝5.4131，CI＝0.1033，CR＝0.0922

在本实施例中，CR<0.1，认为该A的一致性在允许范围内，是可以接受的，则标准化的特征向量

即为元素的权重向量。

步骤4.3.3：计算各节点需要的平均时间。

公式如下：

在本实施例中，求得T_prep＝71.38、T_access＝14.40、T_(def_disable)＝28.18、T_(det_disable)＝114.89、T_event＝11.14。

步骤4.4：攻击准备节点的发生概率为：

P_prep＝(1/T_prep)×e^(-1/T_prep)

在本实施例中，得到P_prep＝0.014。

步骤4.5：成功接入方式节点的发生概率为：

P_access＝(1/T_access)×e^(-1/T_access)

在本实施例中，得到P_access＝0.0648。

步骤4.6：信息安全防护类功能失能节点的发生概率为：

在本实施例中，假设在仪表中存在信息安全防护类功能，因此，得到P_def_disable＝0.0342。

步骤4.7：信息安全检测类功能失能节点的发生概率为：

在本实施例中，假设在仪表中存在信息安全检测类功能，因此，得到P_(det_disable)＝0.0086。

步骤4.8：信息安全防护类功能失效节点的发生概率为：

其中，MCU为信息安全检测类功能运行所在仪表中的微处理器，Level表示功能安全完整性等级，等级评级按照标准GB/T20438.3或IEC61508-3中要求的规定。参数t表示仪表待运行的持续时间。

在本实施例中，仪表的MCU主频为12MHz，t取值为T_sum，SIL等级设置为2级，得到P_(def_failure)＝6.35×10^(-11)。

步骤4.9：信息安全检测类功能失效节点的发生概率为：

其中，MCU为信息安全检测类功能运行所在仪表中的微处理器，Level表示功能安全完整性等级，等级评级按照标准GB/T20438.3或IEC61508-3中要求的规定。参数t表示仪表待运行的持续时间。

在本实施例中，仪表的MCU主频为12MHz，t取值为T_sum，SIL等级设置为2级，得到P_(det_failure)＝6.35×10^(-11)。

步骤4.10：信息安全相关硬件随机失效节点的发生概率为：

P_(hard_failure)(t)＝1-e^(-tλ)

其中，λ为硬件随机失效率，需要从可靠性数据库查询。参数t表示仪表待运行的持续时间。

在本实施例中，安全芯片硬件随机失效率λ为0.6888×10^(-9),t取值为T_sum，得到P_(hard_failure)＝1.653×10^(-7)。

步骤4.11：瞬时信息安全事件节点的发生概率为：

P_event＝(1/T_event)×e^(-1/T_event)

在本实施例中，得到P_event＝0.0821。

步骤5：基于上述步骤3得到的有向无环攻击图形成以攻击开始为起始节点、仪表被成功攻击为目的节点的攻击链集合，并计算集合中每条攻击链的攻击成功概率。计算攻击链的攻击成功概率的过程包括：

其中，下标i表示第i条与信息安全防护类功能失能节点、信息安全检测类功能失能节点相关联的攻击链，下标j表示第j条与信息安全防护类功能失效节点、信息安全检测类功能失效节点相关联的攻击链，下标k表示第k条与信息安全相关硬件随机失效节点相关联的攻击链。

在本实施例中，从攻击图中可以得到3条攻击链，{prep_1->access_1->def_disable_1->det_disable_1->event_1,prep_1->access_1->def_failure_1->det_failure_1->event_1,prep_1->access_1->hard_failure_1->event_1}，进而得到P_suc＝{2.19×10^(-8),3.00×10^(-25),1.23×10^(-11)}。

步骤6：判断步骤5所计算每条攻击链的攻击成功概率与两安一体化仪表安全等级矩阵比较是否符合预期。针对不符合预期风险等级的攻击链，调整攻击链的路径上的信息安全功能措施或功能安全功能措施，并重新计算相应攻击链的攻击成功概率，若迭代控制次数未超过阈值，则跳转到步骤4继续执行，否则执行结束。

在本实施例中，安全等级矩阵如下：

表4安全等级矩阵

攻击成功概率范围	风险等级
		Pr<10^(-16)	低等级
10^(-16)<Pr≤10^(-12)	中低等级
		10^(-12)<Pr≤10^(-8)	中等级
10^(-8)<Pr≤10^(-4)	中高等级
		10^(-4)<Pr≤1	高等级

进一步地，10^(-8)<max(P_suc)≤10^(-4)，风险属于中高等级。因此，调整prep_1->access_1->def_disable_1->det_disable_1->event_1攻击链上面的信息安全功能措施后，跳转到步骤4继续执行。

图3为实施例的扩展示例，为创建其他有向无环攻击图提供参考。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (7)

1.一种两安一体化仪表风险迭代设计方法，其特征在于，包括以下步骤：

1)获取漏洞信息以及仪表设计数据，构建针对仪表漏洞的攻击策略集、信息安全功能措施集以及功能安全功能措施集；

2)基于攻击策略集、信息安全功能措施集以及功能安全功能措施集，构建以仪表被成功攻击为分析目标的有向无环攻击图；

3)确定仪表被攻击成功的平均时间，并量化有向无环攻击图中各节点发生概率；

4)在有向无环攻击图中，以攻击开始为起始节点、仪表被成功攻击为目的节点，构建攻击链集合，并计算集合中每条攻击链的攻击成功概率；

5)判断每条攻击链的攻击成功概率是否符合两安一体化仪表安全等级矩阵的预期，如果符合，则根据当前的有向无环攻击图设计仪表；否则，调整攻击链上的信息安全功能措施或功能安全功能措施，并重新计算相应攻击链的攻击成功概率，循环迭代步骤3)～步骤5)，直至符合预期或迭代次数达到阈值。

2.根据权利要求1所述的一种两安一体化仪表风险迭代设计方法，其特征在于，所述有向无环攻击图中的节点包括：攻击准备节点prep、成功接入方式节点access、信息安全防护类功能失能节点def_disable、信息安全检测类功能失能节点det_disable、信息安全防护类功能失效节点def_failure、信息安全检测类功能失效节点det_failure、信息安全相关硬件随机失效节点hard_failure、瞬时信息安全事件节点event。

3.根据权利要求1所述的一种两安一体化仪表风险迭代设计方法，其特征在于，所述步骤3)包括以下步骤：

3.1)判断所设计的仪表被利用性等级；

3.2)基于仪表漏洞被成功利用性为最高级时需要的平均时间以及仪表被利用性等级，计算仪表被攻击成功的平均时间；

3.3)采用层次分析法评估有向无环攻击图各个节点的权重，进而结合仪表被攻击成功的平均时间，得到各节点需要的平均时间；

3.4)基于各节点需要的平均时间，量化各节点发生概率。

4.根据权利要求3所述的一种两安一体化仪表风险迭代设计方法，其特征在于，所述仪表被攻击成功的平均时间T_sum为：

其中，M为仪表漏洞被成功利用性为最高级时需要的平均时间。

5.根据权利要求3所述的一种两安一体化仪表风险迭代设计方法，其特征在于，所述步骤3.3)包括以下步骤：

3.3.1)构造判断矩阵A：

其中，a_ij表示第i和节点和第j个节点之间的比较，矩阵A的元素满足：1)a_ij＞0；2)

3)a_ii＝1；

3.3.2)求解判断矩阵A的最大特征根与CR值：

其中，

为A的标准化的特征向量，λ_max为A的最大特征根，CI为一致性指数，RI为随机一致性指数，CR为一致性比率，n为元素个数；

3.3.3)计算各节点需要的平均时间；

其中，T_prep为攻击准备需要的平均时间，T_access为成功接入方式需要的平均时间，T_(def_disable)为信息安全防护类功能失能需要的平均时间，T_(det_disable)为信息安全检测类功能失能需要的平均时间，T_event为瞬时信息安全事件发生需要的平均时间。

6.根据权利要求3所述的一种两安一体化仪表风险迭代设计方法，其特征在于，所述步骤3.4)包括以下步骤：

3.4.1)计算攻击准备节点的发生概率P_prep：

P_prep＝(1/T_prep)×e^(-1/T_prep)；

3.4.2)计算成功接入方式节点的发生概率P_access：

P_access＝(1/T_access)×e^(-1/T_access)；

3.4.3)计算信息安全防护类功能失能节点的发生概率P_(def_disable)：

其中，def为信息安全防护类功能；

3.4.4)计算信息安全检测类功能失能节点的发生概率P_(det_disable)：

其中，det为信息安全检测类功能；

3.4.5)计算信息安全防护类功能失效节点的发生概率P_(def_failure)(t)；

其中，SIL为仪表的功能安全完整性等级；

3.4.6)计算信息安全检测类功能失效节点的发生概率P_(det_failure)(t)：

3.4.7)计算信息安全相关硬件随机失效节点的发生概率P_(hard_failure)(t)：

P_(hard_failure)(t)＝1-e^(-tλ)；

其中，λ为硬件随机失效率，t为仪表待运行的持续时间；

3.4.8)计算瞬时信息安全事件节点的发生概率P_event：

P_event＝(1/T_event)×e^(-1/T_event)。

7.根据权利要求1所述的一种两安一体化仪表风险迭代设计方法，其特征在于，所述攻击链的攻击成功概率P_suc(t＝1)为：

其中，下标i表示第i条与信息安全防护类功能失能节点、信息安全检测类功能失能节点相关联的攻击链，下标j表示第j条与信息安全防护类功能失效节点、信息安全检测类功能失效节点相关联的攻击链，下标k表示第k条与信息安全相关硬件随机失效节点相关联的攻击链。

Images